基于逆向检测技术的外网信息系统漏洞分析

基于逆向检测技术的外网信息系统漏洞分析

刘冬兰

（国网山东省电力公司电力科学研究院250000）

摘要：随着信息技术的不断发展，互联网信息系统安全问题已经成为互联网发展过程中急需思考的问题。为了防止计算机外网信息系统漏洞，引致黑客攻击或者病毒侵袭，提出了一种主动防御的思路。即针对不公开源代码和网络协议的木马程序进行漏洞挖掘和瘫痪攻击。经过一系列程序测试，发现若干外网信息系统安全漏洞，较大程度上的保护计算机外网系统安全。因此，对于基于逆向检测技术的外网信息系统漏洞分析问题的研究具有重要的理论意义与实践意义。本文首先介绍了基于逆向检测技术的外网信息系统漏洞分析的相关概述；其次介绍了基于逆向检测技术外网信息系统架构框架；最后对全文进行归纳总结。

关键词：逆向检测；外网；信息系统

一、基于逆向检测技术的外网信息系统漏洞分析的相关概述

随着信息技术的不断发展，外网信息系统漏洞遭受高强度持续性威胁，已经成为常态化的问题，该问题具有重要的危害性，一旦外网信息系统漏洞被攻击，就会遭受病毒的侵袭，也容易遭受黑客的攻击。遭受病毒的亲戚又分为远程控制型和单独作业型。所谓远程控制型就是攻击者通过在远处发送指令的方式对被攻击的电脑进行指令发布。操控者能够对受控电脑的通讯信息以及电脑中的相关信息进行获取。攻击者通过发送指令的方式，让受控端的计算机执行相应的受控行为，并且将计算机的执行结果通过计算机网络的方式回传给操控者。当下计算机病毒多数都是采用远程控制的方式对季璇玑信息系统漏洞进行操控。随着信息技术的不断发展，网络病毒的功能也不断升级。这种远程控制端病毒侵害的方式，往往能够获取大量的计算机信息，对受控者造成巨大的经计算式。

攻击和防护是一对辩证统一的概念。要想防止外网遭受远程病毒侵袭或者黑客攻击，防止计算机瘫痪，或者是计算机失去应有的功能。就需要利用逆向检测技术对外网计算机漏洞进行检测挖掘。针对外网信息漏洞挖掘，主要是通过逆向分析检测技术，在程序上发现计算机外网的漏洞，并且通过数据理论分析的方式，进行类型验证、数据流分析、边界检验等。针对多数的病毒和黑客鸿基，当前都是采用FUZZ的胴体模糊测试的方式进行检验。所谓FUZZ本质上就是一种黑盒测试，这种测试方式就是通过构造一定量的畸形数据的方式，通过这些畸形数据让目标系统崩溃。从而检测出计算机外网系统存在的安全漏洞。

采用FUZZ检测思想进行外网系统漏洞检测，挖掘出计算机网络系统存在的外网漏洞。这种检测方法挖掘外网系统漏洞理论上是可行的，但是由于相关病毒的通信网络协议并不为计算机操控者所掌握，因此需要FUZZ测试样本空间极大，这样就容易造成样本抠门和关键保障。针对病毒网络协议方面的信息方法有两种。第一种是应用层负载分析。这种应用层内容的特征就是在这样的基础上进行分析。第二种是对网络行为的检测。针对应用层以下的各协议层进行特征提取，在这些特征的基础之上建立相关的网络行为分析模型。本文选用的分析方式就是第一种分析方式，这种分析方式具有较高的分析效率，分析效果也相对乐观。

二、基于逆向检测技术外网信息系统架构框架

基于机器学习和数据挖掘的方式进行逆向分析计算机受控端和操控端质检所建立的网络通信协议格式，然后对上述协议生成FUZZ测试的配置文件，在进行相关的受控端漏洞挖掘。

（一）协议分析算法

网络信息协议的流量和格式中有不变量具有关联性，只要找出不变量之间的关联性就能找出相应的协议格式。这是因为不变量之间网络联系过程中会出现高频的子串。这些子串格式上的特点体现在绘画过程中出现的子串之中。这些不变量在一定程度上能够确定网络通信协议的格式。为了能够准确的确定网络流量中的不变量，需要研究者对网络数据流中的信息流量进行TCP流重组，得到相关的网络会话。然后提取出众多网络会话过程中出现的共有的子串，将上述子串进行重组就能够确定网络协议的格式。这种协议分析算法中就是充分运用了逆向分析的思想，充分利用了协议分析算法中的分层次聚类算法、CSS算法、广义后缀树算法的功能。通过上述算法能够获取网络流量中的特征格式片段，在运用相关的算法确定协议格式。

（二）基于网络协议逆向的FUZZ

通过网络协议逆向的FUZZ测试需要经过五个阶段，第一步就是通过算法识别网络通信协议的格式，改过程中需要获取网络信息数据的特征，并且使用上述特征确定网络协议的格式文件，第二步是生成数据。通过确定网络协议格式后，就能够通过动态生成数据的方式或者使用预先设定值的方式进行数据测试，第三步是执行测试数据，该过程是在确定了测试数据之后，将上述数据发送给目标进行的过程；第四步监视异常。所谓监视异常就是通过FUZZ对计算机操作过程中进行监控，准确确定计算机信息传输过程中哪一个数据传输导致的系统崩溃，通过这种方式确定外部网络系统漏洞。第五步确定李永兴。找到相关的外部系统漏洞以后还需要通过进一步分析的方式，确定所发现的漏洞是否具有可利用的空间，并且找到相关的安全威胁隐患所在部位。

三、结语

本研究旨在通过逆向分析法对计算机外部网络系统安全漏洞进行分析，通过采用逆向分析的方式能够确定外部信息网络安全漏洞。并且能够使用场景的方式对病毒传输者或者黑客攻击进行瘫痪攻击。这种攻击方式是一种主动的防御。使用网络协议进行逆向分析，充分利用广义的后缀树对病毒的网络流量特征进行检测，并且将该病毒或者黑客攻击的特点进行提取，并且使用分层次聚类模型的方式生成病毒控制端的FUZZ规则。在使用上述规则进行计算机外部网络系统的漏洞挖掘。算法参数的灵活性，决定了聚类效果的准确性。能够让逆向分析的方式具有更强的操作性，成功的概率也相对较高。对病毒控制端进行控制，在测试的过程中会出现崩溃现象。出现崩溃现象是证明测试有效的重要寿元。通过研究出现崩溃现象出现的数据的漏洞，对崩溃现象的漏洞进行挖掘利用，就能够找到计算机外部网络信息安全漏洞。在分析过程中也能够用宣城获取操控段主机管理员权限的方式，实现对病毒攻击行为的反击，也能够对黑客和病毒攻击行为进行取证。

参考文献

[1]张帅.对APT攻击的检测与防御[J].信息安全与技术，2016，（3）：123-124.

[2]程剑锋.网络APT攻击及防范策略[J].信息安全与通信保密，2017.（4）：23-24.

[3]林成功.传统网络安全防御面临的威胁[J].信息安全与技术，2017，（6）：20-25.

作者简介：刘冬兰（1987-），女，云南宣威人，硕士研究生，高级工程师，研究方向：信息安全。